Los códigos de conducta en el Reglamento General de Protección de Datos
El RGPD hace un especial hincapié en los denominados “códigos de conducta” que básica y principalmente constituyen un mecanismo de autorregulación entre la entidad promotora, y las personas físicas y entidades adheridas al mismo, que permite acreditar, entre otras cuestiones a los responsables y encargados del tratamiento su cumplimiento del RGPD.
Con este propósito nacen los códigos de conducta, los cuales, en el ámbito de la protección de datos personales tienen como objeto el desarrollo entre las entidades de un determinado ámbito o sector económico o de actividad, el cumplimiento efectivo y el desarrollo de la normativa vinculada a la privacidad y a la protección de datos personales.
El contenido de los mismos, tal como más adelante se indicará, necesariamente debe respetar los límites normativos establecidos a tal efecto en el Reglamento (UE) 2016/679.
En este sentido, debe tenerse presente que los códigos de conducta aprobados con la ya derogada Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, tienen el plazo de un año desde la entrada en vigor de la LOPDGDD para adaptar su contenido al RGPD.
Dichos códigos de conducta, de acuerdo con los términos contenidos en el Considerando 98 del RGPD, pueden establecer las obligaciones de los responsables y encargados, teniendo en cuenta el riesgo probable que los tratamientos desarrollados por los mismos supongan para los derechos y libertades de las personas físicas que se derive de dichos tratamientos. Su regulación se encuentra amparada en la “Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679” de 4 de junio de 2019 y en los “Criterios de acreditación para los organismos de supervisión de códigos de conducta” aprobados por la Agencia Española de Protección de Datos en el mes de febrero de 2020, en el que se establecen los criterios a aplicar para la acreditación de los organismos de supervisión de códigos de conducta. En su redacción, la AEPD ha tenido en cuenta las disposiciones de los artículos 41 y 57 del RGPD, las Directrices 1/2019 del CEPD sobre códigos de conducta y organismos de supervisión en virtud del RGPD (en lo sucesivo las Directrices), el Dictamen 1/2020 del CEPD sobre el proyecto de la AEPD de los criterios de acreditación para los organismos de supervisión del código de conducta, de conformidad con el artículo 41 del RGPD, y los dictámenes pertinentes del CEPD.
Como cuestiones más relevantes sobre las que se puede llevar a cabo el contenido material de esta actividad sobre los indicados códigos, tal como se indica en el apartado 2º del artículo 40 del RGPD, cabe señalar al respecto los que se citan seguidamente:
a) El tratamiento leal y transparente; b) Los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos; c) La recogida de datos personales; d) La seudonimización de datos personales; e) La información proporcionada al público y a los interesados; f) El ejercicio de los derechos de los interesados; g) La información proporcionada a los niños y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño; h) Las medidas y procedimientos a que se refieren los artículos 24 y 25 y las medidas para garantizar la seguridad del tratamiento a que se refiere el artículo 32; i) La notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados; j) La transferencia de datos personales a terceros países u organizaciones internacionales; k) O, los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados reconocidos en el RGPD.
Las ventajas de adherirse o elaborar estos códigos de conducta por parte de los responsables son considerables, ya que permite, por ejemplo, demostrar la aplicación de las medidas de seguridad, sirven de garantías suficientes para realizar transferencias internacionales de datos y, además, se tendrá en cuenta para minimizar y determinar las sanciones.
Los responsables o encargados de tratamiento que se adhieran a un código de conducta ya aprobado, tienen la obligación de asumir los compromisos que sean vinculantes y exigibles derivados del mismo, ya se hayan establecido estos a consecuencia de la vía contractual o por medio de otros instrumentos jurídicamente vinculantes, con la finalidad de poder aplicar dichas garantías de forma adecuadas, especialmente, en lo que hace referencia a los derechos de los titulares de los datos personales o interesados.
En este sentido, de nada serviría un código de conducta, que no tuviera en cuenta los riesgos concretos de su sector de actividad, y del mismo modo, sea capaz de graduar el nivel de cumplimiento en función del tamaño de las organizaciones, debiéndose tener presente que, a través del mismo, se tiene que regular la aprobación y supervisión de los códigos, un organismo de supervisión y control de este, y ello con independencia de que ostente un nivel acorde con la tarea.
Esta nueva regulación de los códigos de conducta profesionaliza mucho el desarrollo de su función, pero también establece una carga burocrática muy importante en el ejercicio de su actividad, especialmente en lo que compete al órgano de supervisión y control que necesariamente ha de incorporar todo código de conducta.